CERT Polska stara się walczyć z "mitem kłódki". Ekspertka: daje nam złudne poczucie bezpieczeństwa

Trwające wyprzedaże i promocje, które rozpoczęły się jeszcze przed odbywającym się co roku Black Friday, to także okazja dla cyberprzestępców. Każdego roku, w ostatnim kwartale, eksperci CERT Polska, działającego w strukturach Państwowego Instytutu Badawczego NASK, notują wzrost działalności cyberprzestępców. To m.in. kampanie phishingowe oraz wysyp tzw. fake shopów.

Iwona Prószyńska z CERT Polska, zespołu działającego w ramach NASK zwróciła uwagę, że zagrożenia, na które jesteśmy narażeni zarówno w sieci internetowej, jak i telefonicznej, mają pewien stały scenariusz, tylko nieznacznie modyfikowany przez przestępców. Na ponad 39 tys. incydentów, które CERT Polska obsłużył w poprzednim roku, ponad 25 tys. stanowił tzw. phishing, czyli fałszywy e-mail, SMS lub połączenie telefoniczne, w którym cyberprzestępcy podszywają się pod znaną firmę lub instytucję.

Najpopularniejsze są SMS-y i e-maile

- Obserwujemy pewną sezonowość działania cyberprzestępców. Okres przedświąteczny, czy okres Black Friday, to m.in. wysyp SMS-ów np. związanych z dostarczeniem przesyłki, bo w tym czasie większość z nas czeka na paczkę. W okresie składania zeznań podatkowych przychodzą SMS-y namawiające do sprawdzania wysokości zwrotów podatkowych, a gdy jest sezon grypowy, trafiają do nas fałszywe wiadomości z e-receptami. Cyberprzestępcy są kreatywni i próbują dostosować się do okoliczności, ale wciąż używają tych samych narzędzi, żeby łatwiej do nas dotrzeć - powiedziała Iwona Prószyńska.

Ekspertka zauważyła, że wśród metod dostarczania phishingu najpopularniejsze są SMS-y i e-maile, bo jest to najtańszy i najskuteczniejszy sposób, który pozwala przestępcom dotrzeć do bardzo dużej liczby osób w krótkim czasie.

- Takie kampanie mają masowy charakter, bo w dużej grupie osób, zawsze znajdzie się ktoś, kto czeka na paczkę, kto właśnie wyszedł od lekarza i być może czeka na e-receptę, zawsze będzie ktoś, kto jest ciekawy, jaki zwrot podatku dostanie - mówi Iwona Prószyńska i dodaje, że takie oszustwo polega na tym, że dostajemy link, pod którym np. mamy dopłacić niewielką kwotę za dostawę paczki.

- Ta niewielka kwota to sztuczka, która pozwala uśpić naszą czujność. Naszą czujność pozwala także uśpić podpieranie się autorytetem znanych firm, instytucji publicznych lub banków. To element wspólny wszystkich phishingów - zaznacza.

"Większość stron phishingowych ma kłódeczkę"

Ekspertka podkreśla również, że użytkownicy nie powinni mieć uśpionej czujności, gdy na pasku adresu widzą kłódkę informującą o szyfrowaniu strony.

- "Kłódka w adresie to mit cyberbezpieczeństwa. Ona daje złudzenie bezpieczeństwa, bo ciągle kojarzy nam się, że jak widzimy zieloną kłódeczkę to jesteśmy bezpieczni. Nic bardziej mylnego. Kłódka mówi tylko o tym, że połączenie jest szyfrowane. Większość stron phishingowych, które wpisujemy na Listę ostrzeżeń ma kłódeczkę - zaznaczyła.

Dodała, że CERT Polska stara się walczyć z "mitem kłódki".

- To nie kłódka, a adres jest kluczem do naszego bezpieczeństwa - powiedziała.

Zwróciła tez uwagę, że kolejna metodą dostarczania phishingu są e-maile i dodała, że takie wiadomości mogą być bardzo zaawansowane i często adresowane są do konkretnych odbiorców. Chodzi o wyłudzenia przelewów, bądź o zainfekowanie urządzenia złośliwym oprogramowaniem.

I jeden, i drugi typ wiadomości od oszustów można zgłaszać do CERT Polska. W przypadku SMS-ów najprościej zrobić to przekazując wiadomość na działający od tego tygodnia numer 8080. W przypadku e-maili można to zrobić wypełniając formularz na stronie incydent.cert.pl.

Nasza cyberświadomość rośnie

Iwona Prószyńska zwróciła uwagę na rosnącą świadomość użytkowników sieci.

- W zeszłym roku mieliśmy ponad 322 tys. zgłoszeń. To świadczy oczywiście o tym, że cyberprzestępcy nie próżnują i intensywnie działają w polskiej cyberprzestrzeni, ale to świadczy też o tym, że te 322 tys. razy ktoś rozpoznał ich działania i co więcej wiedział, do jakiej instytucji może przyjść ze swoją wątpliwością czy to faktycznie jest oszustwo, czy nie - podkreśliła.

- Z tych liczb, które u niektórych wywołują wyłącznie przerażenie, ja wyciągam też pozytywny wniosek, że jednak nasza cyberświadomość rośnie. To dobrze, bo reagując możemy chronić tych, którzy być może nie rozpoznali tego oszustwa - oceniła.

Jak informuje CERT Polska, już w 2021 roku ponad 5-krotnie, w stosunku do poprzedniego roku, wzrosła liczba incydentów cyberbezpieczeństwa związanych z oszustwami na najpopularniejszych polskich portalach zakupowych. W 2022 roku liczba realnych incydentów tego typu była już, w porównaniu do 2020 roku, niemal 7-krotnie wyższa.

PR24.pl, PAP, DoS